Настройка физического интерфейса
Алгоритм настройки
Шаг | Описание | Команда | Ключи |
---|---|---|---|
1 | Переход в режим конфигурирования функционала. | esr(config)# interface gigabitethernet esr(config)# interface tengigabitethernet esr(config)# interface fourtygigabitethernet esr(config)# interface twentyfivegigabitethernet esr(config)# interface port-channel <ID> | <ID> – порядковый номер группы агрегации каналов, принимает значения [1..12]. |
2 | Включить/выключить интерфейс. | esr(config-if-gi)# shutdown/ no shutdown | |
3 | Задать описание (не обязательно). | esr(config-if-gi)# description <text> | <text> – до 255 символов. |
4 | Задать MTU (не обязательно). | esr(config-if-gi)# mtu <count> | <count> – 552–10000. Значение по умолчанию: 1500. |
5 | Задать скорость (не обязательно). | esr(config-if-gi)# speed 1000M/100M/10M/10G/auto | Значение по умолчанию: auto. |
6 | Задать MAC-адрес (не обязательно). | esr(config-if-gi)# mac-address <ADDR> | <ADDR> – МАС-адрес сетевого моста, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. |
Алгоритм настройки режима L2
Шаг | Описание | Команда | Ключи |
---|---|---|---|
1 | Установить режим работы физического интерфейса. | esr(config-if-gi)# mode switchport | |
esr(config-if-gi)# mode hybrid | Допустимо только для ESR-1000/1200/1500/1511/1700. | ||
2 | Задать режим работы L2-интерфейса. | esr(config-if-gi)# switchport access | Только для ESR-10/12V(F)/14VF/15/20/21/30/100/ Данный режим является режимом по умолчанию и не отображается в конфигурации. |
esr(config-if-gi)# switchport trunk | Только для ESR-10/12V(F)/14VF/15/20/21/30/100/ | ||
esr(config-if-gi)# switchport general | Только для ESR-1000/1200/ Данный режим является режимом по умолчанию и не отображается в конфигурации. |
На данном этапе настройки нет необходимости в firewall.
Настройка VLAN
VLAN (англ. Virtual Local Area Network) — логическая («виртуальная») локальная сеть, представляет собой группу устройств, которые взаимодействуют между собой на канальном уровне независимо от их физического местонахождения. Работа VLAN основана на использовании дополнительных полей Ethernet-заголовка согласно стандарту 802.1q. По сути, VLAN изолирует широковещательный домен путем ограничения коммутации Ethernet-фреймов только с одинаковым VLAN-ID в Ethernet-заголовке.
Алгоритм настройки
Шаг | Описание | Команда | Ключи |
---|---|---|---|
1 | Создать VLAN. | esr(config)# vlan <VID> | <VID> – идентификатор VLAN, задаётся в диапазоне [2..4094]. Также есть возможность создания нескольких vlan (через запятую), диапазона vlan (через дефис) или комбинированная запись, содержащая запятые и дефисы. |
2 | Задать имя vlan (не обязательно). | esr(config-vlan)# name <vlan-name> | <vlan-name> – до 255 символов. |
3 | Отключить отслеживание состояния интерфейсов, на которых разрешена обработка Ethernet-фреймов данного VLAN (не обязательно). | esr(config-vlan)# force-up | |
4 | Отключить обработку входящих нетегированных Ethernet-фреймов на основе таблицы коммутации VLAN-а по умолчанию (VLAN-ID – 1) (не обязательно). | esr(config-if-gi)# switchport forbidden default-vlan | |
5 | Настроить список VLAN на интерфейсе в тегированном режиме. | esr(config-if-gi)# switchport trunk allowed vlan add <VID> | Для ESR-10/12V(F)/14VF/15/20/21/30/100/200/3100/ <VID> – идентификатор VLAN, задаётся в диапазоне [2..4094]. |
esr(config-if-gi)# switchport general allowed vlan add <VID> tagged | Для ESR-1000/1200/1500/ <VID> – идентификатор VLAN, задаётся в диапазоне [2..4094]. | ||
6 | Настроить VLAN на интерфейсе в нетегированном режиме (не обязательно). | esr(config-if-gi)# switchport trunk native-vlan <VID> | Для ESR-10/12V(F)/14VF/15/20/21/30/100/200/3100/ <VID> – идентификатор VLAN, задаётся в диапазоне [2..4094]. |
esr(config-if-gi)# switchport general allowed vlan add <VID> untagged | Для ESR-1000/1200/1500/ <VID> – идентификатор VLAN, задаётся в диапазоне [2..4094]. | ||
7 | Разрешить на интерфейсе обработку Ethernet-фреймов всех созданных на маршрутизаторе VLAN (не обязательно). | esr(config-if-gi)# switchport trunk allowed vlan auto-all | Только для ESR-10/12V(F)/14VF/15/20/21/30/100/ 200/3100/3200. |
esr(config-if-gi)# switchport general allowed vlan auto-all | Только для ESR-1000/1200/ | ||
8 | Устанавливается идентификатор VLAN-порта (PVID) для входящего нетегированного трафика (не обязательно). | esr(config-if-gi)# switchport general pvid <PVID> | Только для ESR-1000/1200/ 1500/1511/1700. |
Пример настройки 1. Удаление VLAN с интерфейса
Задача:
На основе заводской конфигурации удалить из VLAN 2 порт gi1/0/1.
Решение:
Удалим VLAN 2 с порта gi1/0/1:
esr(config)# interface gi 1/0/1 esr(config-if-gi)# switchport general allowed vlan remove 2 untagged esr(config-if-gi)# no switchport general pvid
Пример настройки 2. Разрешение обработки VLAN в тегированном режиме
Задача:
Настроить порты gi1/0/1 и gi1/0/2 для передачи и приема пакетов в VLAN 2, VLAN 64, VLAN 2000.
Решение:
Создадим VLAN 2, VLAN 64, VLAN 2000 на ESR-1000:
esr-1000(config)# vlan 2,64,2000
Пропишем VLAN 2, VLAN 64, VLAN 2000 на порт gi1/0/1-2:
esr-1000(config)# interface gi1/0/1 esr-1000(config-if-gi)# mode switchport esr-1000(config-if-gi)# switchport forbidden default-vlan esr-1000(config-if-gi)# switchport general allowed vlan add 2,64,2000 tagged
Пример настройки 3. Разрешение обработки VLAN в тегированном и нетегированном режимах
Задача:
Настроить порты gi1/0/1 для передачи и приема пакетов в VLAN 2, VLAN 64, VLAN 2000 в режиме trunk, настроить порт gi1/0/2 в режиме access для VLAN 2 на ESR-100/ESR-200.
Решение:
Создадим VLAN 2, VLAN 64, VLAN 2000 на ESR-100/ESR-200:
esr(config)# vlan 2,64,2000
Пропишем VLAN 2, VLAN 64, VLAN 2000 на порт gi1/0/1:
esr(config)# interface gi1/0/1 esr(config-if-gi)# mode switchport esr(config-if-gi)# switchport forbidden default-vlan esr(config-if-gi)# switchport mode trunk esr(config-if-gi)# switchport trunk allowed vlan add 2,64,2000
Пропишем VLAN 2 на порт gi1/0/2:
esr(config)# interface gi1/0/2 esr(config-if-gi)# mode switchport esr(config-if-gi)# switchport access vlan 2
Настройка LLDP
Link Layer Discovery Protocol (LLDP) — протокол канального уровня, позволяющий сетевому оборудованию оповещать оборудование, работающее в локальной сети, о своём существовании и передавать ему свои характеристики, а также получать от него аналогичные сведения.
Алгоритм настройки
Шаг | Описание | Команда | Ключи |
---|---|---|---|
1 | Активировать LLDP на маршрутизаторе. | esr(config)# lldp enable | |
2 | Включить прием и обработку LLDPDU на физическом интерфейсе. | esr(config-if-gi)# lldp receive | |
3 | Включить отправку LLDPDU на физическом интерфейсе. | esr(config-if-gi)# lldp transmit | |
4 | Установить период отправки LLDPDU (не обязательно). | esr(config)# lldp timer <SEC> | <SEC> – период времени в секундах, принимает значение [1..32768]. Значение по умолчанию: 30. |
5 | Установить период, в течение которого маршрутизатор хранит информацию, полученную по LLDP (не обязательно). | esr(config)# lldp hold-multiplier <SEC> | <SEC> – период времени в секундах, принимает значение [1..10]. Значение по умолчанию: 4. |
6 | Установить IP-адрес, который будет передаваться в LLDP TLV в качестве management-address (не обязательно). | esr(config)# lldp management-address <ADDR> | <ADDR> – IP-адрес, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. По умолчанию задается один из существующих. |
7 | Установить поле system-description, которое будет передаваться в LLDP TLV в качестве system-description (не обязательно). | esr(config)# lldp system-description <DESCRIPTION> | <DESCRIPION> – описание системы, задаётся строкой до 255 символов. По умолчанию содержит информацию о модели и версии ПО маршрутизатора. |
8 | Установить поле system-name, которое будет передаваться в LLDP TLV в качестве system-name (не обязательно). | esr(config)# lldp system-name <NAME> | <NAME> – имя системы, задается строкой до 255 символов. По умолчанию совпадает с заданным hostname. |
Пример настройки
Задача:
Организовать обмен и обработку LLDPDU между маршрутизаторами ESR-1 и ESR-2.
Решение:
Конфигурирование R1
Включим LLDP глобально на маршрутизаторе:esr(config)# lldp enable
Включим прием и отправку LLDPDU на интерфейсе gi 1/0/1.
esr(config)# interface gigabitethernet 1/0/1 esr(config-if-gi)# lldp receive esr(config-if-gi)# lldp transmit
- Конфигурирование R2
Включим LLDP глобально на маршрутизаторе:
esr(config)# lldp enable
Включим прием и отправку LLDPDU на интерфейсе gi 1/0/1.
esr(config)# interface gigabitethernet 1/0/1 esr(config-if-gi)# lldp receive esr(config-if-gi)# lldp transmit
Общую информацию по LLDP соседям можно посмотреть командой:
esr# show lldp neighbors
Подробную информацию по соседу конкретного интерфейса можно посмотреть командой:
esr# show lldp neighbors gigabitethernet 1/0/1
Общую статистику по LLDP можно посмотреть командой:esr# show lldp statistics
Настройка LLDP MED
LLDP MED — расширение стандарта LLDP, которое позволяет передавать сетевые политики: VLAN ID, DSCP, priority.
Алгоритм настройки
Шаг | Описание | Команда | Ключи |
---|---|---|---|
1 | Активировать LLDP на маршрутизаторе. | esr(config)# lldp enable | |
2 | Включить отправку LLDPDU на физическом интерфейсе. | esr(config-if-gi)# lldp transmit | |
3 | Активировать расширение MED LLDP на маршрутизаторе. | esr(config)# lldp med fast-start enable | |
4 | Создать сетевую политику. | esr(config)# network-policy <NAME> | <NAME> – имя network-policy, задается строкой до 31 символа. |
5 | Указать тип приложения. | esr(config-net-policy)# application <APP_TYPE> | <APP-TYPE> – тип приложения, для которого будет срабатывать network-policy. Принимает значения:
|
6 | Установить значение DSCP (не обязательно). | esr(config-net-policy)# dscp <DSCP> | <DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63]. |
7 | Установить значение COS (не обязательно). | esr(config-net-policy)# priority <PRIORITY> | <COS> – значение приоритета, принимает значения:
|
8 | Установить значение VLAN ID. | esr(config-net-policy)# vlan <VID> [tagged] | <VID> – идентификационный номер VLAN, принимает значения [1…4094];
|
9 | Установить сетевую политику на интерфейс. | esr(config-if-gi)# lldp network-policy <NAME> | <NAME> – имя network-policy, задается строкой до 31 символа. |
Пример настройки Voice VLAN
Voice VLAN — VLAN ID, при получении которого IP-телефон переходит в режим trunk с заданным VLAN ID для приема и отправки VoIP-трафика. Передача VLAN ID осуществляется посредством расширения MED протокола LLDP.
Задача:
Необходимо разделить трафик телефонии и данных по разным VLAN, vid 10 для данных и vid 20 для телефонии и настроить отправку Voice VLAN с порта gi 1/0/1 ESR. При этом на IP-телефоне должен поддерживаться и быть включен Voice VLAN.
Решение:
Предварительно необходимо создать VLAN 10 и 20 и настроить интерфейс gi 1/0/1 в режиме trunk:
esr(config)# vlan 10,20 esr(config-vlan)# exit esr(config)# interface gigabitethernet 1/0/1 esr(config-if-gi)# mode switchport esr(config-if-gi)# switchport mode trunk esr(config-if-gi)# switchport trunk allowed vlan add 10,20 esr(config-if-gi)# exit
Включим LLDP и поддержку MED в LLDP глобально на маршрутизаторе:
esr(config)# lldp enable esr(config)# lldp med fast-start enable
Создадим и настроим сетевую политику таким образом, чтобы для приложения voice указывался VLAN ID 20:
esr(config)# network-policy VOICE_VLAN esr(config-net-policy)# application voice esr(config-net-policy)# vlan 20 tagged esr(config-net-policy)# exit
Настроим LLDP на интерфейсе и установим на него сетевую политику:
esr(config)# interface gigabitethernet 1/0/1 esr(config-if-gi)# lldp transmit esr(config-if-gi)# lldp receive esr(config-if-gi)# lldp network-policy VOICE_VLAN esr(config-if-gi)# exit
Настройка протоколов семейства STP
Настройка протоколов STP и RSTP
Spanning Tree Protocol – сетевой протокол, основной задачей которого является приведение сети Ethernet с избыточными соединениями к древовидной топологии, исключающей петли. Сетевые устройства обмениваются служебными сообщениями, используя кадры специального формата (BPDU), и выборочно включают/отключают интерфейсы во избежание кольцевых топологий.
Rapid (быстрый) STP (RSTP) – является усовершенствованием протокола STP, характеризуется меньшим временем сходимости за счет использования механизма предложений и соглашений (propolsal /agreement proccess) и улучшенной логикой отправки служебных BPDU-сообщений.
Протоколы STP и RSTP не поддержаны на следующих моделях: ESR-1000, ESR-1200, ESR-1500/1511, ESR-1700
Алгоритм настройки
Шаг | Описание | Команда | Ключи |
---|---|---|---|
1 | Включить STP в глобальном режиме конфигурации . | esr(config)# spanning-tree | |
2 | Установить интервал времени, затрачиваемый на прослушивание и изучение | esr(config)# spanning-tree forward-time <TIME> | <TIME> – время в секундах, принимает значения [4..30]. Значение по умолчанию: 15 секунд. |
3 | Установить интервал времени между отправкой BPDU-пакетов. ( не обязательно) | esr(config)# spanning-tree hello-time <TIME> | <TIME> – время в секундах, принимает значения [1..10]. Значение по умолчанию: 2 секунды. |
4 | Установить время жизни связующего дерева STP. ( не обязательно) | esr(config)# spanning-tree max-age <TIME> | <TIME> – время в секундах, принимает значения [6..40]. Значение по умолчанию: 20 секунд. |
5 | Выбрать тип протокола: STP или RSTP. | esr(config)# spanning-tree mode <MODE> | <MODE> – протокол семейства STP:
Значение по умолчанию: RSTP. |
6 | Установить метод определения ценности пути. ( не обязательно) | esr(config)# spanning-tree pathcost method <short | long> | long – значение ценности в диапазоне [1..200000000]; short – значение ценности в диапазоне [1..65535]. Значение по умолчанию: short. |
7 | Настроить приоритет связующего дерева STP. ( не обязательно) | esr(config)# spanning-tree priority <PRIORITY> | <PRIORITY> – приоритет, указывается в диапазоне c шагом 4096 [0..61440]. Значение по умолчанию: 32768. |
8 | Установить стоимость на определенном интерфейсе. ( не обязательно) | esr(config-if-gi)# spanning-tree cost | <COST> – стоимость пути, устанавливается в диапазоне [1..20000000]. Значение по умолчанию: 4. |
9 | Установить тип интерфейса. ( не обязательно) | esr(config-if-gi)# spanning-tree link-type {point-to-point|shared} | point-to-point – команда определяет интерфейс как «точка-точка»; shared – команда определяет интерфейс как «разветвленный». Значение по умолчанию: point-to-point. |
10 | Установить приоритет интерфейса в связующем дереве STP. ( не обязательно) | esr(config-if-gi)# spanning-tree port-priority <PRIORITY> | <PRIORITY> – приоритет, указывается в диапазоне c шагом 16 [0..240]. |
Пример настройки
Задача:
Настроить на маршрутизаторе протокол STP для предотвращения петли с интервалом прослушивания и изучения сети 10 секунд и временем жизни связующего дерева 15 секунд.
Решение:
Для примера разберём схему с маршрутизатором и коммутатором, соединенных двумя линками.
По умолчанию на ESR включен протокол RSTP.
Перейдём в режим конфигурирования:
esr-20# configure
Зададим протокол по умолчанию STP:
esr-20(config)# spanning-tree mode stp
Установим время жизни связующего дерева – 15 секунд и интервал прослушивания и изучения сети – 10 секунд:
esr-20(config)# spanning-tree max-age 15 esr-20(config)# spanning-tree forward-time 10
Вывод команды show spanning-tree bridge global active:
esr-20# show spanning-tree bridge global active Protocol version: STP Root ID: [32768] a8:f9:4b:ad:5a:00 Root port: [128] gi1/0/1 Pathcost 32768 Message Age 300 Hello time: 2 Max age time: 20 Forward delay: 15 Bridge ID: [32768] a8:f9:4b:ad:8e:5d Hello time: 2 Max age time: 15 Forward delay: 10 Transmit hold count: 6 Topology change: 0 Time since topology change: 16 Topology change count: 2 Name State Prio.Num Cost Status Role PortFast Type ------------ ----- -------- --------- -------- -------- -------- -------------------- gi1/0/1 en 128.2 32768 FRW Root No STP gi1/0/2 en 128.3 32768 BLK Altr No STP
Настройка протокола VSTP
Использование VLAN Spanning tree Protocol позволяет организовать работу протоколов STP/RSTP в рамках выделенного bridge-домена, что дает возможность
Настройка Bridge
Bridge (мост) — это способ соединения двух сегментов Ethernet на канальном уровне без использования протоколов более высокого уровня, таких как IP. Пакеты передаются на основе Ethernet-адресов, а не IP-адресов. Поскольку передача выполняется на канальном уровне (уровень 2 модели OSI), трафик протоколов более высокого уровня прозрачно проходит через мост.
Алгоритм настройки
Шаг | Описание | Команда | Ключи |
---|---|---|---|
1 | Добавить сетевой мост (bridge) в систему и перейти в режим настройки его параметров. | esr(config)# bridge <BRIDGE-ID> | <BRIDGE-ID> – идентификационный номер моста, принимает значения в диапазоне:
|
2 | Активировать сетевой мост. | esr(config-bridge)# enable | |
3 | Указать экземпляр VRF, в котором будет работать данный интерфейс (не обязательно). | esr(config-bridge)# ip vrf forwarding <VRF> | <VRF> – имя VRF, задается строкой до 31 символа. |
4 | Назначить описание конфигурируемому сетевому мосту (не обязательно). | esr(config-bridge)# description <DESCRIPTION> | <DESCRIPTION> – описание сетевого моста, задаётся строкой до 255 символов. |
5 | Связать саб-интерфейс, qinq-интерфейс, L2GRE-туннель или L2TPv3-туннель с сетевым мостом. Связанные интерфейсы/туннели и сетевые мосты автоматически становятся участниками общего L2-домена (не обязательно). | esr(config-if-gi)# bridge-group <BRIDGE-ID> esr(config-if-l2tpv3)# bridge-group <BRIDGE-ID> | <BRIDGE-ID> – идентификационный номер моста, принимает значения в диапазоне:
|
6 | Связать текущий сетевой мост с VLAN. Все интерфейсы и L2-туннели, являющиеся членами назначаемого VLAN, автоматически включаются в сетевой мост и становятся участниками общего L2-домена (не обязательно). | esr(config-bridge)# vlan <VID> | <VID> – идентификатор VLAN, задаётся в диапазоне [1..4094]. |
7 | Указать размер MTU (Maximum Transmition Unit) пакетов, которые может пропускать данный bridge (не обязательно; возможно, если в bridge включен только VLAN). | esr(config-bridge)# mtu <MTU> | <MTU> – значение MTU, принимает значения в диапазоне:
Значение по умолчанию: 1500. |
8 | Указать IPv4/IPv6-адрес и маску подсети для конфигурируемого интерфейса или включить получение IP-адреса динамически. | esr(config-bridge)# ip address <ADDR/LEN> | <ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. Дополнительные функции IPv4-адресации см. в разделе Настройка IP-адресации. |
esr(config-bridge)# ipv6 address <IPV6-ADDR/LEN> | <IPV6-ADDR/LEN> – IP-адрес и префикс подсети, задаётся в виде X:X:X:X::X/EE, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128]. Дополнительные функции IPv6-адресации см. в разделе Настройка IPv6-адресации. Можно указать несколько IPv4/IPv6-адресов перечислением через запятую. Может быть назначено до 8 IPv4/IPv6-адресов на интерфейс. | ||
esr(config-bridge)# ip address dhcp | Дополнительные функции при работе DHCP-клиента см. в разделе Управление DHCP-клиентом. | ||
9 | Отключить на интерфейсе функции Firewall или включить интерфейс в зону безопасности (см. раздел Конфигурирование Firewall). | esr(config-bridge)# ip firewall disable | |
esr(config-bridge)# security-zone <NAME> | <NAME> – имя зоны безопасности, задаётся строкой до 31 символа. | ||
10 | Включить запись статистики использования текущего интерфейса (не обязательно). | esr(config-bridge)# history statistics | |
11 | Задать интервал времени, за который усредняется статистика о нагрузке на bridge (не обязательно). | esr(config-bridge)# load-average <TIME> | <TIME> – интервал в секундах, принимает значения [5..150]. Значение по умолчанию: 5. |
12 | Задать MAC-адрес сетевого моста, отличный от системного (не обязательно). | esr(config-bridge)# mac-address <ADDR> | <ADDR> – МАС-адрес сетевого моста, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. |
13 | Включить на bridge режим изоляции интерфейсов. | esr(config-bridge)# protected-ports [ exclude vlan ] | exclude vlan – при указании данного ключа, VLAN (связанный с bridge) исключается из списка изолируемых интерфейсов. |
14 | Запретить коммутацию трафика unknown-unicast (когда MAC-адрес назначения не содержится в таблице коммутации) в данном bridge (не обязательно; применимо только на ESR-1000/1200/1500/1511/1700/ | esr(config-bridge)# unknown-unicast-forwarding disable | |
15 | Установить время жизни IPv4/IPv6-записей в ARP-таблице, изученных на данном bridge (не обязательно). | esr(config-bridge)# ip arp reachable-time <TIME> или esr(config-bridge)# ipv6 nd reachable-time <TIME> | <TIME> – время жизни динамических MAC-адресов, в миллисекундах. Допустимые значения от 5000 до 100000000 миллисекунд. Реальное время обновления записи варьируется от [0,5;1,5]*<TIME>. |
Также для bridge-интерфейса возможно настроить:
|
Пример настройки bridge для VLAN и L2TPv3-туннеля
Задача:
Объединить в единый L2-домен интерфейсы маршрутизатора, относящиеся к локальной сети, и L2TPv3-туннель, проходящий по публичной сети. Для объединения использовать VLAN 333.
Решение:
Создадим VLAN 333:
esr(config)# vlan 333 esr(config-vlan)# exit
Создадим зону безопасности «trusted»:
esr(config)# security-zone trusted esr(config-zone)# exit
Добавим интерфейсы gi1/0/11, gi1/0/12 в VLAN 333:
esr(config)# interface gigabitethernet 1/0/11-12 esr(config-if)# mode switchport esr(config-if)# switchport general allowed vlan add 333 tagged
Создадим bridge 333, привяжем к нему VLAN 333 и укажем членство в зоне «trusted»:
esr(config)# bridge 333 esr(config-bridge)# vlan 333 esr(config-bridge)# security-zone trusted esr(config-bridge)# enable
Установим принадлежность L2TPv3-туннеля к мосту, который связан с локальной сетью (настройка L2TPv3-туннеля рассматривается в разделе Настройка L2TPv3-туннелей). В общем случае идентификаторы моста и туннеля не должны совпадать с VID как в данном примере.
esr(config)# tunnel l2tpv3 333 esr(config-l2tpv3)# bridge-group 333
Пример настройки bridge для VLAN
Задача:
Настроить маршрутизацию между VLAN 50 (10.0.50.0/24) и VLAN 60 (10.0.60.0/24). VLAN 50 должен относиться к зоне «LAN1», VLAN 60 – к зоне «LAN2», разрешить свободную передачу трафика между зонами.
Решение:
Создадим VLAN 50, 60:
esr(config)# vlan 50,60 esr(config-vlan)# exit
Создадим зоны безопасности «LAN1» и «LAN2»:
esr(config)# security-zone LAN1 esr(config-zone)# exit esr(config)# security-zone LAN2 esr(config-zone)# exit
Назначим интерфейсам gi1/0/11, gi1/0/12 VLAN 50:
esr(config)# interface gigabitethernet 1/0/11-12 esr(config-if-gi)# switchport general allowed vlan add 50 tagged
Назначим интерфейсу gi1/0/14 VLAN 60:
esr(config)# interface gigabitethernet 1/0/14 esr(config-if-gi)# switchport general allowed vlan add 60 tagged
Создадим bridge 50, привяжем VLAN 50, укажем IP-адрес 10.0.50.1/24 и членство в зоне «LAN1»:
esr(config)# bridge 50 esr(config-bridge)# vlan 50 esr(config-bridge)# ip address 10.0.50.1/24 esr(config-bridge)# security-zone LAN1 esr(config-bridge)# enable
Создадим bridge 60, привяжем VLAN 60, укажем IP-адрес 10.0.60.1/24 и членство в зоне «LAN2»:
esr(config)# bridge 60 esr(config-bridge)# vlan 60 esr(config-bridge)# ip address 10.0.60.1/24 esr(config-bridge)# security-zone LAN2 esr(config-bridge)# enable
Создадим правила в Firewall, разрешающие свободное прохождение трафика между зонами:
esr(config)# security zone-pair LAN1 LAN2 esr(config-zone-pair)# rule 1 esr(config-zone-pair-rule)# action permit esr(config-zone-pair-rule)# enable esr(config-zone-pair-rule)# exit esr(config-zone-pair)# exit esr(config)# security zone-pair LAN2 LAN1 esr(config-zone-pair)# rule 1 esr(config-zone-pair-rule)# action permit esr(config-zone-pair-rule)# enable esr(config-zone-pair-rule)# exit esr(config-zone-pair)# exit esr(config)# exit
Посмотреть членство интерфейсов в мосте можно командой:
esr# show interfaces bridge
Пример настройки добавления/удаления второго VLAN-тега
Задача:
На интерфейс gigabitethernet 1/0/1 поступают Ethernet-кадры с различными VLAN-тегами. Необходимо перенаправить их в интерфейс gigabitethernet 1/0/2, добавив второй VLAN-ID 828. При поступлении на интерфейс gigabitethernet 1/0/2 Ethernet-кадров с VLAN-ID 828, данный тег должен быть удален и отправлен в интерфейс gigabitethernet 1/0/1.
Решение:
Создадим на маршрутизаторе bridge без VLAN и без IP-адреса:
esr(config)# bridge 1 esr(config-bridge)# enable esr(config-bridge)# exit
Включим интерфейс gigabitethernet 1/0/1 в bridge 1:
esr(config)# interface gigabitethernet 1/0/1 esr(config-if-gi)# bridge-group 1 esr(config-if-gi)# exit
Включим саб-интерфейс gigabitethernet 1/0/2.828 в bridge 1:
esr(config)# interface gigabitethernet 1/0/2.828 esr(config-subif)# bridge-group 1 esr(config-subif)# exit
При добавлении второго VLAN-тега в Ethernet-кадр его размер увеличивается на 4 байта. На интерфейсе маршрутизатора gigabitethernet 1/0/2 и на всем оборудовании, передающем Q-in-Q кадры, необходимо увеличить MTU на 4 байта или более.
Настройка Dual-Homing
В текущей версии ПО данный функционал поддерживается только на маршрутизаторе ESR-1000.
Dual-Homing – технология резервирования соединений, позволяет организовать надежное соединение ключевых ресурсов сети на основе наличия резервных линков.
Алгоритм настройки
Шаг | Описание | Команда | Ключи |
---|---|---|---|
1 | Указать резервный интерфейс, на который будет происходить переключение при потере связи на основном. | esr(config-if-gi)# backup interface<IF> vlan <VID> | <IF> – интерфейс, на который будет происходить переключение. <VID> – идентификационный номер VLAN, задаётся в диапазоне [2…4094]. Можно также задать диапазоном через «-» или перечислением через «,». |
2 | Указать количество копий пакетов с одним и тем же MAC-адресом, которые будут отправлены в активный интерфейс при переключении (не обязательно). | esr(config)# backup-interface mac-duplicate <COUNT> | <COUNT> – количество копий пакетов, принимает значение [1..4]. |
3 | Указать количество пакетов в секунду, которое будет отправлено в активный интерфейс при переключении (не обязательно). | esr(config)# backup-interfacemac-per-second<COUNT> | <COUNT> – количество MAC-адресов в секунду, принимает значение [50..400]. |
4 | Указать, что необходимо осуществить переключение на основной интерфейс при восстановлении связи (не обязательно). | esr(config)# backup-interface preemption |
Пример настройки
Задача:
Организовать резервирование L2-соединений маршрутизатора ESR для VLAN 50-55 через устройства SW1 и SW2.
Решение:
Предварительно нужно выполнить следующие действия:
Создадим VLAN 50-55:
esr(config)# vlan 50-55
Необходимо отключить STP на интерфейсах gigabitethernet 1/0/9 и gigabitethernet 1/0/10, так как совместная работа данных протоколов невозможна:
esr(config)# interface gigabitethernet 1/0/9-10 esr(config-if-gi)# spanning-tree disable
Интерфейсы gigabitethernet 1/0/9 и gigabitethernet 1/0/10 добавим в VLAN 50-55 в режиме general:
esr(config-if-gi)# switchport general allowed vlan add 50-55 esr(config-if-gi)# exit
Основной этап конфигурирования:
Сделаем интерфейс gigabitethernet 1/0/10 резервным для gigabitethernet 1/0/9:
esr(config)# interface gigabitethernet 1/0/9 esr(config-if-gi)# backup interface gigabitethernet 1/0/10 vlan 50-55
Просмотреть информацию о резервных интерфейсах можно командой:
esr# show interfaces backup
Настройка зеркалирования (SPAN/RSPAN)
В текущей версии ПО функциональность удаленного зеркалирования (RSPAN) поддерживается только на маршрутизаторах ESR-1000/1200/1500/1511/1700.
Зеркалирование трафика – функция маршрутизатора, предназначенная для перенаправления трафика с одного порта маршрутизатора на другой порт этого же маршрутизатора (локальное зеркалирование) или на удаленное устройство (удаленное зеркалирование).
Алгоритм настройки
Шаг | Описание | Команда | Ключи |
---|---|---|---|
1 | Определить VLAN, по которому будет передаваться отзеркалированный трафик (в случае использования удаленного зеркалирования). | esr(config)# port monitor remote vlan <VID> <DIRECTION> | <VID> – идентификационный номер VLAN, задаётся в диапазоне [2…4094]; <DIRECTION> – направление трафика:
|
2 | Включить режим удаленного зеркалирования (в случае использования удаленного зеркалирования). | esr(config)# port monitor remote | |
3 | Определить режим порта передающего отзеркалированный трафик (не обязательно). | esr(config)# port monitor mode <MODE> | <MODE> – режим:
|
4 | В режиме конфигурации интерфейса включить зеркалирование. | esr(config-if-gi)# port monitor interface <IF> [ <DIRECTION> ] | <IF> – интерфейс c которого будут зеркалироваться кадры; <DIRECTION> – направление трафика:
|
Пример настройки
Задача:
Организовать удаленное зеркалирование трафика по VLAN 50 с интерфейса gi1/0/11 для передачи на сервер для обработки.
Решение:
Предварительно нужно выполнить следующие действия:
- Создать VLAN 50;
- На интерфейсе gi 1/0/5 добавить VLAN 50 в режиме general.
Основной этап конфигурирования:
Укажем VLAN, по которой будет передаваться зеркалированный трафик:
еsr1000(config)# port monitor remote vlan 50
На интерфейсе gi 1/0/5 укажем порт для зеркалирования:
еsr1000(config)# interface gigabitethernet 1/0/5 еsr1000(config-if-gi)# port monitor interface gigabitethernet 1/0/11
Укажем на интерфейсе gi 1/0/5 режим удаленного зеркалирования:
еsr1000(config-if-gi)# port monitor remote
Настройка LACP
LACP — протокол для агрегирования каналов, позволяет объединить несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность и надежность канала.
Алгоритм настройки
Шаг | Описание | Команда | Ключи |
---|---|---|---|
1 | Установить приоритет системы для протокола LACP. | esr(config)# lacp system-priority <PRIORITY> | <PRIORITY> – приоритет, указывается в диапазоне [1..65535]. Значение по умолчанию: 1. |
2 | Установить механизм балансировки нагрузки для групп агрегации каналов. | esr(config)# port-channel load-balance { src-dst-mac-ip | |
|
3 | Установить административный таймаут протокола LACP. | esr(config)# lacp timeout {short | long } |
Значение по умолчанию: long. |
4 | Создать и перейти в режим конфигурирования агрегированного интерфейса. | esr(config)# interface port-channel <ID> | <ID> – порядковый номер группы агрегации каналов, принимает значения [1..12]. |
5 | Настроить необходимые параметры агрегированного канала. | ||
6 | Перейти в режим конфигурирования физического интерфейса. | esr(config)# interface <IF-TYPE><IF-NUM> | <IF-TYPE> – тип интерфейса (gigabitethernet или tengigabitethernet). <IF-NUM> – F/S/P – F-фрейм (1), S – слот (0), P – порт. |
7 | Включить физический интерфейс в группу агрегации каналов с указанием режима формирования группы агрегации каналов. | esr(config-if-gi)# channel-group <ID> mode <MODE> | <ID> – порядковый номер группы агрегации каналов, принимает значения [1..12]. <MODE> – режим формирование группы агрегации каналов:
|
8 | Установить LACP-приоритет интерфейса Ethernet. | esr(config-if-gi)# lacp port-priority <PRIORITY> | <PRIORITY> – приоритет, указывается в диапазоне [1..65535]. Значение по умолчанию: 1. |
9 | Установить интервал времени, в течение которого собирается статистика о нагрузке на саб-интерфейс (не обязательно). | esr(config-subif)# load-average <TIME> | <TIME> – интервал в секундах, принимает значения [5..150]. |
10 | Установить время жизни IPv4/IPv6 записей в ARP-таблице, изученных на данном интерфейсе (не обязательно). | esr(config-subif)# ip arp reachable-time <TIME> или esr(config-subif)# ipv6 nd reachable-time <TIME> | <TIME> – время жизни динамических MAC-адресов, в миллисекундах. Допустимые значения от 5000 до 100000000 миллисекунд. Реальное время обновления записи варьируется от [0,5;1,5]*<TIME>. |
11 | Изменить размер MTU (MaximumTransmitionUnit). MTU более 1500 будет активно, только если применена команда "system jumbo-frames" (не обязательно). | esr(config-subif)# mtu <MTU> | <MTU> – значение MTU в байтах. Значение по умолчанию: 1500. |
12 | Включить запись статистики использования текущего интерфейса (не обязательно). | esr(config-subif)# history statistics | |
13 | Переопределить значение поля MSS (Maximum segment size) во входящих TCP-пакетах (не обязательно). | esr(config-subif)# ip tcp adjust-mss <MSS> esr(config-subif)# ipv6 tcp adjust-mss <MSS> | <MSS> – значение MSS, принимает значения в диапазоне [500..1460]. Значение по умолчанию: 1460. |
Также для агрегированного интерфейса возможно настроить:
|
Пример настройки
Задача:
Настроить агрегированный канал между маршрутизатором ESR и коммутатором.
Решение:
Предварительно необходимо выполнить следующие настройки:
На интерфейсах gi1/0/1, gi1/0/2 отключить зону безопасности командой «no security-zone».
Основной этап конфигурирования:
Создадим интерфейс port-channel 2:
esr(config)# interface port-channel 2
Включим физические интерфейсы gi1/0/1, gi1/0/2 в созданную группу агрегации каналов:
esr(config)# interface gigabitethernet 1/0/1-2 esr(config-if-gi)# channel-group 2 mode auto
Дальнейшая конфигурация port-channel проводится как на обычном физическом интерфейсе.